Microsoft SharePoint Serverに、認証を必要とせずリモートから権限昇格が可能となる深刻な脆弱性(CVE-2026-56164)が発見され、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に対し緊急の対応を求めています。この脆弱性は、すでに実際に攻撃で悪用されていることが確認されており、早急な修正版の適用が不可欠です。
今すぐ行う対策
- ✓Microsoftが2026年7月14日に公開した月例セキュリティ更新プログラムを、すべてのSharePoint Serverインスタンスに即座に適用する。
- ✓特にインターネットに公開されているSharePoint Serverについては最優先でパッチ適用を実施する。
- ✓パッチの適用有無にかかわらず、すべてのSharePointサーバーでAMSI(Antimalware Scan Interface)を「Full Mode」で有効化し、悪用検知能力を強化する。
- ✓Microsoft Active Directory Federation Services (AD FS) を利用している場合は、CVE-2026-56155に対応するパッチも適用する。
脆弱性の概要と影響範囲
CVE-2026-56164は、オンプレミス版のMicrosoft SharePoint Server(SharePoint Server 2016、2019、およびSubscription Edition)に存在する認証欠如の脆弱性(CWE-306)です。攻撃者は認証情報を必要とせず、ユーザーの操作も介さずに、ネットワーク経由でリモートから権限を昇格させることが可能となります。
この脆弱性のCVSSスコアは、NVD(National Vulnerability Database)で最大9.8(緊急)と評価されています。 米国CISAは、すでにこの脆弱性が実際の攻撃で悪用されていることを確認しており、連邦機関に対して2026年7月19日までに修正プログラムを適用するよう指示しています。
また、SharePoint Serverには他にも悪用が確認されているリモートコード実行(RCE)の脆弱性(CVE-2026-58644、CVSS 9.8)が報告されています。これは信頼できないデータの逆シリアライズに起因し、攻撃者がサイト所有者以上の認証情報を持つ場合、SharePoint Server上で任意のコードを実行できる可能性があります。 CISAは、これらの脆弱性がIISマシンキーの窃取やマルウェア展開に利用されていると警告しています。
具体的な影響・攻撃シナリオ
攻撃者は、CVE-2026-56164を悪用してSharePoint Serverへの認証不要なリモートアクセスを獲得し、権限を昇格させることができます。さらに、既報の古いSharePointの脆弱性と組み合わせることで、IIS(Internet Information Services)のマシンキーを窃取し、侵害したサーバーへの永続的なアクセスを確立したり、マルウェアを遠隔展開する可能性があります。
これにより、企業の機密情報が漏洩したり、システムが完全に制御され、大規模なサービス停止やデータ破壊に繋がる恐れがあります。実際に、複数の攻撃グループが金融、医療、政府、エネルギー分野でこれらの脆弱性を悪用しているとの報告もあります。
対応手順と確認方法
Microsoftのセキュリティ更新プログラムを適用後、システムが正しく更新されていることを確認してください。Windows Updateの履歴を確認するほか、PowerShellコマンドなどでインストール済みの更新プログラムを一覧表示し、該当するKB番号のパッチが適用されているかを確認します。AMSIのFull Mode有効化については、Microsoftの公式ドキュメントを参照し、設定が反映されていることを確認してください。
📦参考ソース・公式パッチ情報
- Microsoft Security Update Guide - July 2026↗
- NVD - CVE-2026-56164 Detail↗
- NVD - CVE-2026-58644 Detail↗
- NVD - CVE-2026-56155 Detail↗
- CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV↗
- JPCERT/CC - 2026年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起↗
- 窓の杜 - Microsoft、2026年7月の月例更新 ~脆弱性は過去最多の約3倍で622件、「緊急」だけでも62件↗
